本公开涉及计算机,尤其涉及一种dns64和nat64的配置方法及装置。
背景技术:
1、随着互联网的迅猛发展,ipv4(internetprotocol version 4,互联网通信协议第四版)面对的首要问题就是地址枯竭,我国可用的公网ip地址更是甚少。nat(networkaddress translation,网络地址转换)技术的出现暂时缓解了ip地址枯竭的问题,但是却无法从根本上解决该问题。
2、随着ipv6协议的出现,彻底解决了ip地址枯竭的问题,ipv6协议在全球的部署和发展呈现加速趋势。由于当前internet中存在数量庞大的ipv4设备和用户,以及ipv6网络和ipv4网络所采用的协议格式和地址的差异,现行的ipv4网络无法在短时间内全部升级为ipv6网络。因此在ipv4占主导的网络环境下,ipv4网络能否向ipv6网络平滑过渡(即nat64技术)决定了ipv6协议能否顺利的推广应用。
3、相关技术中,在ipv6网络与ipv4网络的过渡阶段,ipv6客户端经常访问ipv4服务器,防火墙的实现方式在设计上较为复杂,易用性较差。并且需要单独配置dns64策略,ipv6客户端需要将防火墙的接口地址设置为ipv6 dns服务器地址,且需要将接口加入区域并开启dnsv6服务;dns64策略还涉及到nat64前缀、dnsv4服务器地址的配置,需要单独配置nat64策略,然后对dns解析出的业务服务器地址进行转换处理,且dns64策略的前缀和nat64策略的前缀必须保持一致。以上策略配置需要用户非常熟悉网络拓扑以及策略配置方法,才能实现ipv6客户端访问ipv4相关业务服务器,对用户来讲,该策略配置方法易用性较差,配置难度较高。
技术实现思路
1、有鉴于此,本公开实施例提供了一种dns64和nat64的配置方法及装置,通过dns64前缀来映射ipv4客户端的dns服务器地址,可以直接映射成ipv6地址,用户通过配置一条nat64策略即可实现dns64和nat64业务功能,即实现ipv6客户端访问ipv4业务服务器的功能,能够降低dns64和nat64的策略配置难度,简化配置流程,易用性较高。
2、第一方面,本公开实施例提供了一种dns64和nat64的配置方法,采用如下技术方案:
3、防火墙下发预先配置好的nat64策略,并根据所述nat64策略中配置的dns64前缀地址自动开启ipv6 dns服务器;其中,所述nat64策略的目的ipv6地址引用所述dns64前缀地址,所述nat64策略的目的ipv4地址配置为ipv4 dns服务器地址;
4、当所述防火墙接收到ipv6客户端发送的目的地址为ipv6 dns服务器地址的dns请求报文,且所述dns请求报文与所述nat64策略匹配成功时,将所述dns请求报文进行转换得到dns转换报文;
5、将所述dns转换报文通过路由器发送到ipv4 dns服务器,并在接收到所述ipv4dns服务器的dns应答报文后,将所述dns应答报文进行转换并发送至ipv6客户端;
6、当所述防火墙接收到所述ipv6客户端发送的业务报文,且存在对应的缓存时,则直接进行nat64转换,将所述目的ipv6地址转换为ipv4业务服务器地址。
7、在一些实施例中,当所述防火墙接收到ipv6客户端发送的目的地址为ipv6 dns服务器地址的dns请求报文之后,所述方法还包括:
8、当所述ipv6 dns服务器地址的格式符合所述dns64前缀地址的格式时,查询ipv6路由表;
9、若查询到所述ipv6路由表中包含所述ipv6 dns服务器地址,则直接通过所述路由器将所述dns请求报文转发至所述ipv6 dns服务器;
10、若未查询到所述ipv6路由表中包含所述ipv6 dns服务器地址,则将所述dns请求报文与所述nat64策略进行匹配。
11、在一些实施例中,所述方法还包括:
12、若所述dns请求报文与所述nat64策略匹配成功,则查询域名和所述ipv6 dns服务器地址的缓存对应关系;
13、当查询到所述域名和所述ipv6 dns服务器地址的缓存对应关系时,根据所述缓存对应关系将所述dns请求报文的ipv6业务服务器地址转换为ipv4业务服务器地址;
14、当未查询到所述域名和所述ipv6 dns服务器地址的缓存对应关系时,则生成dns缓存表并记录缓存状态;其中,所述dns缓存表包括域名、ipv6域名服务器地址、ipv4域名服务器地址和缓存状态dns req;
15、若所述dns请求报文与所述nat64策略匹配失败,则丢弃所述dns请求报文。
16、在一些实施例中,将所述dns请求报文进行转换得到dns转换报文,包括:
17、将所述dns请求报文的目的地址转换为所述nat64策略配置的ipv4 dns服务器地址;
18、将所述dns请求报文的域名类型由aaaa类型转换为a类型,得到所述dns转换报文。
19、在一些实施例中,在接收到所述ipv4 dns服务器的dns应答报文后,还包括:
20、将所述dns缓存表的缓存状态dns req更新为dns respon;
21、在所述dns缓存表中增加ipv4业务服务器地址和ipv6业务服务器地址。
22、在一些实施例中,将所述dns应答报文进行转换并发送至ipv6客户端,包括:
23、将所述dns应答报文的域名类型由a类型转换为aaaa类型;
24、将所述dns应答报文的应用层地址由所述ipv4 dns服务器地址转换为包含所述dns64前缀地址的ipv4业务服务器地址;
25、将所述dns应答报文发送至ipv6客户端,以便所述ipv6客户端获得所述dns请求的目的地址为ipv6 dns服务器地址,并向所述ipv6dns服务器地址发送业务报文。
26、在一些实施例中,当所述防火墙接收到所述ipv6客户端发送的业务报文,且存在对应的缓存时,则直接进行nat64转换,将所述目的ipv6地址转换为ipv4业务服务器地址,包括:
27、当所述防火墙接收到所述ipv6客户端发送的业务报文,且查询到所述dns缓存表中存在所述ipv6 dns服务器地址与所述ipv4业务服务器地址的对应关系;
28、将所述目的ipv6地址由所述ipv6 dns服务器地址转换为ipv4业务服务器地址,将所述ipv6客户端的源ipv6地址转换为源ipv4地址。
29、第二方面,本公开实施例还提供了一种dns64和nat64的配置装置,采用如下技术方案:
30、策略配置单元,被配置为防火墙下发预先配置好的nat64策略,并根据所述nat64策略中配置的dns64前缀地址自动开启ipv6 dns服务器;其中,所述nat64策略的目的ipv6地址引用所述dns64前缀地址,所述nat64策略的目的ipv4地址配置为ipv4 dns服务器地址;
31、报文转换单元,被配置为当所述防火墙接收到ipv6客户端发送的目的地址为ipv6dns服务器地址的dns请求报文,且所述dns请求报文与所述nat64策略匹配成功时,将所述dns请求报文进行转换得到dns转换报文;
32、报文发送单元,被配置为将所述dns转换报文通过路由器发送到ipv4 dns服务器,并在接收到所述ipv4 dns服务器的dns应答报文后,将所述dns应答报文进行转换并发送至ipv6客户端;
33、nat64转换单元,被配置为当所述防火墙接收到所述ipv6客户端发送的业务报文,且存在对应的缓存时,则直接进行nat64转换,将所述目的ipv6地址转换为ipv4业务服务器地址。
34、第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
35、所述电子设备包括:
36、至少一个处理器;以及,
37、与所述至少一个处理器通信连接的存储器;其中,
38、所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的dns64和nat64的配置方法。
39、第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上任一所述的dns64和nat64的配置方法。
40、本公开实施例提供的一种dns64和nat64的配置方法及装置,通过dns64前缀来映射ipv4客户端的dns服务器地址,可以直接映射成ipv6地址,用户通过配置一条nat64策略即可实现dns64和nat64业务功能,即实现ipv6客户端访问ipv4业务服务器的功能,能够降低dns64和nat64的策略配置难度,简化配置流程,易用性较高。
41、上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。